公司治理下的内部控制与审计报告23458.docx

《公司治理下的内部控制与审计报告23458.docx》由会员分享，可在线阅读，更多相关《公司治理下的内部控制与审计报告23458.docx（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、公司治理下的内内部控制与审审计提要本文回回顾分析了英国公公司治理和内内部控制发展展历史上三个具具有里程碑意意义的文献-卡德德伯利报告、哈哈姆佩尔报告告和特恩布尔尔报告，揭示示了英国内部部控制发展的四大趋趋势，并结合合我国内部控控制研究和发展的的现状，借鉴鉴英国的经验验，对当前我我国内部控制制理论研究的定位、上上市公司内部部控制有效性性的披露以及及内部审计的的发展方向等等问题提出了若若干建议。公公司治理和内内部控制发展展史上的三大大报告历史上看，英英国内部控制制的发展离不不开公司治理理研究的推动动。20世纪纪80-900年代，英国国的公司治理理像今天的美美国一样，面面临着巨大的的信任危机。面面对

2、创造性会会计(creeativee accoountinng)的泛滥滥、公司经营营的失败和连连续不断的丑丑闻、董事薪薪酬激增以及及企业短期行为为主义猖獗等等一系列公司司治理问题，社会公公众、监管机机构的不满情情绪日益升温温。这一阶段段也就成为英英国公司治理理问题研究的的一个高峰期期，各种专门门委员会纷纷纷成立，并发发布了各自的的研究报告，其其中比较著名名的有卡德伯伯利报告(CCadburry Repport，11992)、拉拉特曼报告(Rutteerman Reporrt，19994)、格林林伯利报告(Creennbury Reporrt，19995)和哈姆姆佩尔报告(Hampeel Repp

3、ort，11998)。在在吸收这些研研究成果的基基础上，19998年最终终形成了公司司治理委员会会综合准则(Combiined CCode oof thee commmitteee on CCorporrate GGovernnance)。综合准则则很快就被伦伦敦证券交易易所认可，成成为交易所上上市规则的补补充，要求所所有英国上市市公司强制性性遵守。这些些研究成果从从理论和实践两两个方面，极极大地推动了了英国公司治治理和内部控控制的发展，尤尤其是卡德伯伯利报告、哈哈姆佩尔报告告，以及作为为综合准则指指南的特恩布布尔报告(TTurnbuull Reeport，11999)，堪堪称英国公司司治理和

4、内部部控制研究历历史上的三大大里程牌。一一、卡德伯利利报告卡德伯伯利报告从财财务角度研究究公司治理，同同时将内部控控制置于公司司治理的框架架之下。其实实，19855年“公司法法”S.2221条款就规规定，董事对对公司保持充充分的会计记录负责责，为满足上上述要求，在在现实中董事事必须建立公公司财务管理理方面的内部部控制制度，包包括设计程序序使舞弊风险险最小化。也也就是说，11985年的的“公司法”已已经对董事确确保适当的内内部控制制度度提出了含蓄蓄的要求。卡卡德伯利报告告进一步认为为，有效的内内部控制是公公司有效管理理的一个重要要方面。因此此建议董事们们应发表一个个声明，对公公司内部控制制的有效

5、性进进行详细描述述，外部审计计师对其声明明进行复核(revieew)和报告告，同时规定定在董事会认认可声明之前前，审计委员员会应对公司司的内部控制制声明进行复复核。该报告告还认为，内内部审计有助助于确保内部部控制的有效效性，内部审审计的日常监监督是内部控控制的整体组组成部分，会会计师职业应应在以下方面面起到领导作作用: (11)开发用以以评估有效性性的一整套标标准; (22)开发董事事会报告形式式的具体指南南; (3)开发审计师师用以相关审审计程序和报报告格式的具具体指南。卡卡德伯利报告告在许多方面面开创了英国国公司治理历历史的先河，它它明确要求建建立审计委员员会、实行独独立董事制度度，同时将

6、内内部控制作为为公司治理的的组成部分。尽尽管报告尚存存在许多局限限性，但它所所确认的公司司治理的许多多原则一直沿沿用至今。二二、哈姆佩尔尔报告哈姆佩佩尔报告将内内部控制的目目的定位于保保护资产的安安全、保持正正确的财务会会计记录、保保证公司内部部使用和向外外部提供的财财务信息的可可靠性，同时时鼓励董事对对内部控制的的各个方面进进行复核，包包括确保高效效经营、遵守守法律法规方面面的控制。哈哈姆佩尔报告告认为，很难难将财务控制制与其他控制制区分开来，并并坚信董事及及管理人员对对控制的各个个方面进行复复核具有重要要意义，内部部控制不应仅仅局限于公司司治理的财务务方面。该报报告全面赞同同卡德伯利报报告

7、将内部控控制视为有效效管理的重要要方面的观点点，并认为董董事会应该对对内部控制进进行复核以强强调相关控制制目标，这些些目标包括对对企业风险评估估和反映、财财务管理、遵遵守法律法规、保保护资产安全全以及使舞弊弊风险最小化化等方面。尽尽管哈姆佩尔尔报告所提出出的准则，将将公司治理向向前推进了一一步，但并未未满足普遍的的要求，其主主要的批评意意见集中于该该报告的内容容缺乏新意、委委员会主要由由既得利益者者组成、有关关原则难以付付诸实施、责责任不够明确确等。当时贸贸易与工业部的负责责人玛格丽特特贝凯特就就认为，报告告在受托责任任与透明度方方面仍有不足足。三、特恩恩布尔报告卡卡德伯利报告告和哈姆佩尔尔报

8、告都程度度不同地对公公司内部控制制提出了要求求，作为集大大成者的综合合准则在“最最佳实务准则则(Bestt Pracctice Code)”中对内部部控制提出了了综合性和原原则性的规定定。尽管综合合准则要求公公司董事会应应建立健全内内部控制，但但是该准则并并未就如何构构建“健全的的内部控制”提提供详细的指指南。因此，英英格兰和威尔尔士特许会计计师协会(IICAEW)与伦敦证券券交易所达成成一致，为上上市公司执行行准则中与内内部控制相关关的要求提供供具体指南。11999年IICAEW组组成的以尼格格尔特恩布布尔(Niggel Tuurnbulll)为主席席的十人工作作小组公布了了内部控制制：综合

9、准则则董事指南，即即特恩布尔报报告。作为指指导企业构建建内部控制的的指南，该报报告的意义在在于，它为公公司及董事会会提供了具体体的、颇具可可行性的内部部控制指引。其其主要内容是：董事会对对公司的内部部控制负责，应应制定正确的的内部控制政政策，并寻求求日常的保证证，使内部控控制系统有效效发挥作用，还还应进一步确确认内部控制制在风险管理理方面是有效效的。在决定定内部控制政政策，并在此此基础上评估估特定环境下下内部控制的的构成时，董董事会应对以以下问题进行深入入思考：(11)公司面临临风险的性质质和程度；(2)公司可可承受风险的的程度和类型型；(3)风风险发生的可可能性；(44)公司减少少事故的能力

10、力及对已发生生风险的影响响；(5)实实施特殊风险险控制的成本本，以及从相相关风险管理理中获取的利利益。执行风风险控制政策策是管理层的的职责，在履履行其职责的的过程中，管管理层应确认认、评价公司司所面临的风风险，并执行行董事会所设设计、运行的的内部控制政政策。公司员员工有义务将将内部控制作作为实现其责责任目标的组组成部分，他他们应集体具具备必要的知知识、技能、信信息和授权，以以建立、运行行和监督公司司内部控制系系统。这要求求对公司及其其目标，所处处的产业和市市场以及面临临的风险有深深入的理解。合理的内部部控制要素包包括政策、程程序、任务、行行为以及公司司的其他方面面，这些要素素结合在一起起，对影

11、响公司目标标实现的重大大的商业性、业业务性、财务务性和遵循性性风险做出正正确反应，以以提高公司经经营的效率和和效果。其中中包括避免资资产的不当使使用、损失或或舞弊，并保保证已对负债债进行了确认认和管理。公公司的内部控控制应反映组组织结构在内内的控制环境境，包括：(1)控制活活动；(2)信息和沟通通程序；(33)持续性监监督程序。特特恩布尔报告告指出了健全全的内部控制制所应具备的的基本特征：(1)它根根植于公司的的经营之中，形形成公司文化化的一部分。换换言之，它不不仅仅是为了了取悦监管者者而进行的年年度例行检查查; (2)针对公司面面临的不断变变化的风险，具具有快速反应应的能力; (3)具有有对

12、管理中存存在的缺陷或或失败进行快快速报告的能能力，并且能能及时地采取取纠正措施。对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等，这也将为公司年报和记录中的内部控制声明提供适当的支持。内部控制发展的若干趋势一、对内部控制有效性进行报告的要求日趋减弱卡德伯利报告建议，董事应就内部控制的有效性进行报告，并要求审计师对董事会报告进行复核。由此产生了一系列问题，其中之一就是审计师应向谁进行报告、是否应将其复核报告公开。在向社会公众提供公开报告

13、方面，有效性要求使董事会和审计师均感到很困惑，因为那将意味着内部控制将为避免错误或舞弊提供“绝对保证”，而事实上没有一个内部控制系统能够完全避免人为错误。如果由于非故意原因导致错误陈述或遗漏，董事或审计师将因为其确认的有效性而承担法律责任。Power(1997)的研究发现，当内部控制及其有效性的概念仍处于模糊状态时，董事会及会计师均不愿做出这样的声明。与卡德伯利报告形成鲜明对比的是，哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断，并对卡德伯利准则中的第4.5条款进行了修改，将原来的“董事应就公司内部控制的有效性进行报告”，修改为“董事应对公司内部控制进行报告”，删除了“有效性”一词。哈

14、姆佩尔报告建议，在董事会报告中明确董事在内部控制方面的责任，说明内部控制仅能为避免重大的错误或遗漏提供“合理”保证，描述公司为提供有效的财务控制而建立的主要程序，并确认董事已经就系统的有效性进行了复核。哈姆佩尔报告认为，审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通渠道，使得最佳实务在报告的范围和性质方面不断进步。而特恩布尔报告则规定，董事会应对公司内部控制的有效性进行复核，总结进行复核所使用的程序，并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程，董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董

15、事会在年报中提供额外的信息，以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见，英国对有关公司内部控制的报告和披露方面的要求并未放松，但对内部控制有效性进行报告的规定却日趋减弱。二、内部控制与风险管理的融合日趋紧密表一概括了英国内部控制范围的演化过程和发展趋势。卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制，而财务控制的主要功能在于保护资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则向前推进了一步，认为很难将财务控制与其他控制区分开来，鼓励董事对有效经营、遵守法律法规等方面进行复核，从而大大扩大了内部控制的范围。特恩布尔报告

16、再次扩大了内部控制的范围，将其与风险管理联系起来。内部控制与风险管理的结合很早就引发了人们的关注，但两者的关系仍无普遍认可的观点。一种观点认为内部控制从属于风险管理的范畴，是风险管理的方式之一。例如Krogstad(1999)就认为内部控制不存在于真空或暗箱之中，而存在于协助组织进行风险管理并提升有效的治理程序之中，McNamee也认为内部控制是企业管理者对企业风险的反应。另一种有代表性的观点是将风险管理纳入内部控制体系，认为控制包含了风险。例如，美国的COSO报告将风险评估视为内部控制的五个要素之一。加拿大CICA的控制委员会则认为“控制应包括对风险的确认和规避”(1999)。经过争论和实践

17、，人们对二者关系的认识不断深化，逐渐认识到将两者关系隔离的分析方法是不可取的，内部控制与风险管理只有相融合，才能实现最佳效果。例如，Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离，而在现实的商业行为中，他们是一体化的”，这种融合极大地推进了内部控制定义的发展。Maijoor(2000)曾指出定义内部控制的困难所在，并进一步认为当前内部控制的研究是零散和不完善的，内部控制在公司治理中的作用并不明显，导致政策建议建立在未经证实的假设之上。特恩布尔报告转向扩张的观念，将内部控制与风险管理合为一体，认为两者是近乎等同的概念。这是英国与公司治理相关的公开文件中，第一次强调内部控制

18、与企业风险的关系。而此前的卡德伯利报告没有明确两者之间的关系，哈姆佩尔报告也仅在内部控制的环境下简单地提及风险管理。特恩布尔报告认为公司经营的目标、内部控制组织和环境处于不断变化之中，作为结果，其面临的风险也在不断变化。一个健全的内部控制依赖于对公司所面临风险性质和程度的全面、综合的评价。因为利润本身部分地作为企业成功冒险的回报，内部控制的目的就是帮助正确地管理和控制风险，而非减少风险。正如该委员会主席尼格尔特恩布尔所说：“我们致力于制定实务指南，以保证董事会知晓公司所面临的重要风险，并制定相应的程序对风险进行管理，执行的管理层负责通过建立有效的内部控制系统进行风险管理，而董事会作为一个整体对

19、其进行报告。”这种融合避免了对内部控制定义不清的麻烦，使之从传统的内部财务控制的狭窄范围内摆脱出来，扩展至通过战略参与公司价值创造，同时亦标志着风险导向内部控制时代的来临。三、内部审计的角色由监督者逐步转变为控制者内部审计一度曾被定位于“监督者”的角色。卡德伯利报告认为，内部审计是对外部审计的补充，建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分，这种日常监督也是公司内部控制整体中的一部分，它有利于保持内部控制系统的有效性。内部控制代表董事会对任何有舞弊可疑性的行为执行调查，为保证其地位的独立性，应使内部审计负责人与审计委员会主席的沟通畅通无阻。哈姆佩尔报告却认为，没有必要对内

20、部审计做出严格的规定，但董事会应经常考虑，是否需要建立独立内部审计机构。特恩布尔报告对内部审计做出了更为详细的指引，认为是否建立内部审计机构不能一概而论，而是取决于公司具体的因素。这些因素包括规模、公司行为的多样性和复杂性、员工的数量以及成本效益方面的考虑。高级管理人员和董事会需要对风险和控制给出客观的保证和建议，一个有效的内部审计部门(或独立第三方)则可以提供这种保证和建议，内部审计亦可以在诸如健康和安全、管制和法律遵守及环境等问题提供保证和建议。特恩布尔报告认为，在决定是否有必要建立单独的内部审计机构这一问题上，董事会应考虑公司行为、市场、组织重构、信息系统和其他外部环境方面因素是否会增加

21、公司所面临的风险。那些未建立内部审计机构的公司，其管理人员应使用其他监督程序，以确保内部控制能正常、按要求运转，董事会有必要对这些程序是否提供足够和客观的保证进行评估。特恩布尔报告还认为，内部审计师的主要作用是确证和建议，而不再是以往的“监督和复核”。这一转变赋予内部审计更多的内涵，也推动了英国内部审计职业角色的转变。这一转变也与内部审计师协会(IIA)将内部审计定位成增值性审计的想法不谋而合。在风险导向的内部控制下，内部审计计划与公司风险管理策略联系在一起，内部审计利用对当前的风险分析，保证其审计计划与企业的经营计划相一致。正如McNamee所预言的那样，内部审计师应成为内部战略计划者-一个

22、管理控制的扩展，以确保系统正常运做，实现组织目标，内部审计师应最终脱离狭隘的会计之源。在变革的时代，内部审计师应在全面管理中发挥更高价值的功能，这一崭新的定位已经成为内部审计师职业发展的目标，也为内部审计师在组织中占据新的位置提供了机遇。四、内部控制自我评估日益受到重视内部控制自我评估(CAS)是公司管理层和员工在专题讨论中，共同对内部控制进行的评估(Mc Namee，1995)。自我评估是组织监督和评估内部控制系统的主要工具，它将运行和维持内部控制的主要责任赋予公司管理层，同时使员工和内部审计与管理层一道承担对内部控制评估的责任。这使以往由内部审计对控制的充足性及有效性进行独立验证发展到全新

23、的阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对管理控制和治理负责。英国一直重视内部控制的自我评估，但卡德伯利报告和哈姆佩尔报告仅要求对内部控制系统进行复核(review)。而在特恩布尔报告中，则第一次使用了评估(assessment)的字眼，报告还用相当大篇幅对内部控制自我评估做出了原则性的规定。特恩布尔报告规定，在给董事会的报告中，管理层应对与其相关的领域中所存在的风险，以及相应的内部控制系统的有效性提供平衡的自我评估。特恩布尔报告认为，在对内部控制进行自我评估时，应特别考虑以下几个问题：(1)自上次评估以来，重要风险的性质和程度所发生的变化，以及公司对这些商业风险和外部环

24、境变化所做出反应的能力。(2)管理层对内部控制系统和风险持续监督的范围和质量，以及内部审计功能和其他保证方式的工作状况如何。(3)就监督的结果与董事会交流的程度和频率，以便在公司内建立起累计评估体系，对内部控制状况及风险管理有效程度加以评估。(4)期间内任一时间所确认的重大控制失败或弱点，及其所导致或可能导致的不可遇见的结果及或有事项的程度，以及对公司财务状况和业绩产生的重大影响。(5)公司公开报告程序的有效性。一旦知道内部控制中所存在的重大失败或弱点，董事会应决定这种失败或弱点是如何产生的，并对内部控制系统的有效性进行重新评估。从上述情况看，尽管报告尚未对评估的程序、方法等做出更为具体的规定

25、，但明显地，对内部控制自我评估的重视程度，是日益加强的。几点启示一、内部控制理论研究定位问题长期以来，我国内部控制理论研究主要集中于会计审计领域，侧重从会计和审计的角度研究内部控制，其研究成果也主要服务于审计方法的应用、审计成本的节约和审计风险的控制。注册会计师职业在审计中采用制度基础审计方法，通过对内部控制的测试，确定审计的重点和风险，进一步修改审计计划，而内部审计师则将内部控制作为监督或评价的重点目标。仅从会计和审计的角度研究内部控制，必然导致视角过于狭窄。1996年财政部颁布的独立审计具体准则第9号内部控制和审计风险，对企业内部控制的定义、目标和局限性等做出了较为全面的阐述，但它所采用的

26、内部控制是英、美等国家所“淘汰”的概念，其作用也仅局限于对注册会计师从事审计业务提供具体指引。2001年财政部颁布的内部会计控制规范基本规范(试行)是目前我国内部控制领域内最具权威的标准，也是上市公司进行内部控制实践所依据标准，但该规范仍局限在内部会计控制领域。而英国内部控制的发展，经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段，其范围不断扩大，早已超出了会计控制的范围。2002年1月，中国证监会颁布了我国第一部公司治理准则上市公司治理准则，对公司治理的诸多方面进行了规范，但该准则却并没有涉及内部控制方面的内容，这使得该准则自诞生之日起便带有明显的缺陷。公司治理与

27、内部控制之间应形成良性互动关系，内部控制的发展离不开公司治理的推动，公司治理的优化也离不开有效的内部控制作为保障。我们认为，两者间的关系应该在准则中得到反映，治理准则对内部控制、内部审计亦应作出明确的规定。英国内部控制的发展离不开公司治理的推动，内部控制和内部审计研究均置于公司治理的框架之内，重视从公司治理的角度研究内部控制，把内部控制看作公司治理的有机组成部分。我们认为，应借鉴其英国内部控制研究的经验，加强对内部控制理论的研究，致力于研究内部控制是否对公司治理产生影响、这种影响机制如何发生作用以及公司董事会和管理层如何设计、运行公司内部控制机制等基本理论问题。二、对内部控制的有效性进行强制性

28、报告有待商榷目前我国上市公司的内部控制实行的是强制性披露制度。虽然这种强制性的信息披露有利于投资者了解上市公司的相关信息和投资决策。但是，这种强制性披露要求的合理性仍值得商榷。因为，如果公司或注册会计师在报告中认为上市公司的内部控制是“有效性”的，这就意味着他们做出了某种承诺和保证，且给人绝对承诺和保证的印象。实际上，内部控制所能提供的仅是“合理”保证，而非“绝对”保证，这种绝对的保证很容易将自身置于潜在的诉讼风险之中。正是出于对诉讼风险的担心，英国上市公司的董事及注册会计师才反复游说，最终取消了对“有效性”报告的规定。由于内部控制的涵盖范围很大，涉及到财务会计、经营管理、合法合规等诸多方面，

29、使得任何一起证券市场民事诉讼都有可能牵扯到内部控制。发起人、负有责任的董事、监事以及注册会计师均有可能因对内部控制的“有效性”做出承诺而面临诉讼，而导致巨额的赔偿。因此，要求上市公司或注册会计师对内部控制的有效性进行报告的做法，值得进一步探讨。这是英国内部控制发展给我们的另一个启示。三、风险导向内部审计是内部审计的发展方向随着风险导向内部控制时代的来临，内部审计的工作重点也发生变化，由“控制”转向“风险”。现代内部审计除了关注传统的内部控制之外，更关注有效的风险管理机制和健全的公司治理结构(王光远，2002)。在风险导向内部审计观念下，年度审计计划与公司最高层的风险战略连接在一起，内部审计人员

30、通过对当前的风险分析确保其审计计划与经营计划相一致，使用风险管理原则改变审核过程。风险管理成为组织中关键流程，促使内部审计的工作重点不再是测试控制，而是确认风险及测试管理风险的方法，在风险导向的内部审计中，控制仍然重要，但分析、确认、揭示关键性的经营风险，才是内部审计的焦点。目前我国内部审计面临着与内部控制研究相似的问题，即内部审计尚未与公司治理相结合，成为公司治理的有机部分。当前我国企业内部审计主要将大部分精力用于财务数据的真实性、合法性的查证和生产经营的监督，管理审计尚未得到广泛的开展。因此，我们认为应顺应内部审计科学发展的客观规律，在实践中有意识地推动内向型管理审计的发展。从强调确认和测试控制完整性，逐步转向强调确认和测试风险是否得到有效管理，从传统的强调关注风险因素，逐步转向关注情景规划。内向型管理审计的建议应不再仅是强化控制、提高控制效率和效果，而应该是规避风险、转移风险和控制风险，通过风险管理的有效化，提高整体管理效率和效果。